Winsock 安全通訊端延伸模組

Winsock 的安全通訊端延伸模組可讓通訊端應用程式控制其透過網路流量的安全性。 這些延伸模組可讓應用程式為其網路流量提供安全性原則和需求,並查詢套用的安全性設定。 例如,應用程式可以使用這些擴充功能來查詢可用來執行應用層級存取檢查的對等安全性權杖。

安全通訊端延伸模組旨在整合 IPsec 和其他安全性通訊協定與 Winsock 架構所提供的服務。 在 Windows Vista 之前,在 Windows Server 2003 和 Windows XP 上,IPsec 已透過本機和網域原則由系統管理員設定。 在 Windows Vista 上,安全通訊端延伸模組會改為允許應用程式完全或部分地設定和控制其在通訊端層級的網路流量安全性。

應用程式可以使用公用 API 來保護網路流量,例如 IPsec 管理、Windows篩選平臺和安全性支援提供者介面 (SSPI) 。 不過,使用這些 API 可能會讓應用程式更難以開發,而且可能更難設定和部署。 Winsock 安全通訊端延伸模組的設計目的是為了簡化需要安全網路流量的網路應用程式開發,方法是讓 Winsock 處理大部分的複雜度。

這些安全通訊端延伸模組可在 Windows Vista 和更新版本上使用。

安全通訊端函式

安全通訊端擴充功能如下所示:

注意

安全通訊端函式目前僅支援 IPsec 通訊協定,且可在 Windows Vista 和更新版本上使用。

 

安全通訊端函式所使用的結構和列舉如下所示:

安全通訊端函式很容易用於一般應用程式,且彈性足以讓需要高度控制其安全性的應用程式。 這些函式可讓您將基礎安全性機制隱藏在應用程式中。 應用程式可以指定一般安全性需求,並讓系統管理員控制用來支援需求的安全性通訊協定。 雖然可以擴充這些函式以新增其他安全性通訊協定,但目前只有 IPsec 會與安全通訊端函式整合。

WSASetSocketSecurity函式可讓應用程式在建立連線之前啟用安全性和套用安全性設定。

WSASetSocketPeerTargetName函式可讓應用程式指定對應至對等實體的目標名稱。 選取的安全性通訊協定會在驗證對等時使用這項資訊。 這項功能可解決信任中間人攻擊的疑慮。

WSADeleteSocketPeerTargetName函式是用來刪除通訊端先前指定的對等名稱。

建立連線之後, WSAQuerySocketSecurity 函式可讓應用程式查詢連線的安全性屬性,其中包括對等存取或電腦存取權杖。

建立連線之後, WSAImpersonateSocketPeer 函式可讓應用程式模擬對應至通訊端對等的安全性主體,以執行應用層級授權。

WSARevertImpersonation可讓應用程式終止通訊端對等的模擬。

安全通訊端架構

basic architecture of the winsock secure socket extensions

關於Windows篩選平臺

使用安全通訊端延伸模組的進階 Winsock 範例

應用層強制執行 (ALE)

IPsec 組態

IPsec 函式

安全 Winsock 程式設計

安全性支援提供者介面 (SSPI)

使用安全通訊端延伸模組

Windows 篩選平台

Windows篩選平臺 API 函式